機能紹介
- 2017/10/13
その「暗号化」、本当に情報漏洩対策に役立ってますか?
情報漏洩を防ぐ手段にはさまざまなものがありますが、中でも「暗号化」の有用性は、近年かなり広く認知されるようになりました。その背景には、Windows OSが標準でHDD暗号化の機能を搭載したことがありますが、ほかにも独自の暗号化機能を備えた製品が続々と登場し、一般ユーザーの間では「暗号化しておけば安心」という意識が徐々に根付いてきているようです。
多くのユーザーがデータ暗号化の重要性を認識するようになったこと自体は歓迎すべき状況ですが、同時に「手軽に暗号化!」「すべてまとめて暗号化!」といったキャッチコピーを謳う製品が多く登場してきたことで、データ暗号化の本来の意義よりも、「いかに楽に暗号化できるか」「いかに安く暗号化技術を手に入れられるか」という点にユーザーの注目が集まっている傾向が見られます。
しかしデータ暗号化は本来、業務を楽にしたり効率化するためのものではありません。データがどこにあっても、あるいはどんな使われ方をしても、その内容が不正に流出することを確実に防ぐためのものです。この本来の目的を見失って、「とにかく何でもいいから暗号化しておけば安心!」という意識で暗号化の手段を検討すると、どうしても手軽さやコストを優先して技術や製品を選びがちです。その結果、いざ導入してみたはいいものの、実質的な情報漏洩対策にはほど遠いというケースも決して少なくありません。
そこで、以下で代表的な情報漏洩対策の特徴を挙げながら、暗号化の本来の導入意義についてあらためて考えてみたいと思います。
HDD暗号化
HDD暗号化は、最も手軽にできる情報漏洩対策の1つです。PCのHDD全体や、USBメモリの記憶領域を暗号化することで、万が一PCやUSBメモリが盗難・紛失に遭っても、内部に保管されたデータが第三者に盗み見られないようにできます。確かに盗難・紛失対策としては有効ですが、一方でメールの誤送信やファイルの操作ミス、あるいは内部犯行によるデータ持ち出しなどに対しては無力です。そのため一定の効果はあるものの、「HDDを暗号化したからもう安心!」とは決していきません。
ログの監視
ユーザーの操作ログを監視し、情報漏洩が起こったかどうかを判断したり、情報が流出したルートを特定することで、特に内部犯行による情報漏洩を抑止する効果が得られます。これはこれで、情報漏洩対策として極めて重要な取り組みの1つなのですが、基本的には情報漏洩が発生した後の事後対応が中心になるため、内部犯行を抑止する効果はある程度期待できても、漏洩そのものを事前に防止する効果はさほど期待できないでしょう。
データの持ち出し禁止
情報漏洩事故の多くは、社外に持ち出したノートPCやUSBメモリの紛失・盗難、あるいは不適切な利用によって発生しています。そのため、PCやUSBメモリの社外持ち出し自体をルールで禁止すれば、漏洩リスクを大幅に低減できます。また、こうした施策を社内で徹底することにより、内部犯行を抑止する効果も期待できます。しかし言うまでもなく、デバイスの社外持ち出しを全面禁止することには、「業務効率の低下」という致命的なトレードオフが存在します。
シンクライアント化
シンクライアント端末はデバイス上にデータを一切残さないため、どんな手段よりも優れた情報漏洩対策だと考えられてきました。たとえ端末が盗難・紛失に遭ってもデータが流出することはなく、内部犯行による不正なデータ持ち出しも防げるため、極めて有効な対策だといえるでしょう。しかしシンクライアント端末の導入には高いコストが掛かり、またネットワークにつながっていないと利用できないため、特に社外で利用するユーザーにとっての利便性は通常のPCやスマートデバイスと比べて若干劣ると言わざるを得ません。
ファイル単位の暗号化&管理
情報漏洩事故は、機密情報を記録したファイルが流出することによって発生します。従ってファイルの単位で守るべきものをしっかり守り、何があっても第三者がその中身を読み取れなくすれば、たとえ端末が盗まれようと、内部犯行でファイルが持ち出されようと、情報漏洩の心配はありません。この考えに基づき、ファイル単位で暗号化やアクセス制御を行い情報漏洩を防ぐ「IRM(Information Rights Management)」という技術が近年注目を集めています。
「ファイルの暗号化」と一言で言っても、その内容やレベルは千差万別です。例えば、最も広く使われている「パスワード付きZIP」は、確かに誰でも簡単に利用・運用できるものの、ファイルの暗号化が一度解かれた後は、その内容を流出から守る手段はほぼありません。
しかし弊社が提供するIRM製品「FinalCode」を使えば、あらかじめファイルの閲覧権限を付与したユーザーしかファイルの暗号化を解いて内容を読み取ることができず、しかもファイルのコピーや印刷などに制限を掛けることもできます。また遠隔からファイルを削除することもできるため、社内はもちろん、たとえ社外に出したファイルであっても、情報漏洩を確実にシャットアウトできます。さらには、オフライン環境で利用できるオプションも提供しています。
このように一言で「暗号化」といっても、ただ形だけのものから本格的なものまで、さまざまなレベルの技術や製品が存在します。情報漏洩対策を検討する際には、こうした点に留意して慎重に製品を選びたいところです。
<「FinalCode」製品担当:日置>